A JUNIPER NETWORKS UNIFIED ACCESS CONTROL PORTFOLIÓJA
AZ INFRANET CONTROLLER, AZ UAC AGENT ÉS AZ ENFORCEMENT POINT ESZKÖZÖK A hálózat, az azon futó alkalmazások és az „üzlet” többé nem elválasztható fogalmak. A hozzáférésnek biztonságosnak kell lennie, de mégis egyszerűnek. Olyan hozzáférés-kezelési megoldásokra van szükség, amelyek megfelelően rugalmasak, hogy a vállalat folyamatosan változó igényeinek hosszú távon is megfeleljenek. A Juniper Networks Unified Access Control (UAC) megoldása csökkenti a hálózat sebezhetőségét, miközben kiváló menedzsment eszközöket ad az üzemeltetők kezébe. Az UAC a hálózat minden szintjén védelmet nyújt, széles körű iparági kapcsolatok révén pedig számos más gyártó termékeivel is problémamentesen együttműködik.
Bevezetés Manapság a vállalatok olyan hozzáférés kezelési megoldásokat keresnek, amelyek egyszerre képesek kezelni a felhasználó azonosítását, a felhasználó által használt eszköz biztonsági állapotát, a hálózathoz kapcsolódás helyét és módját; és ezen adatok alapján egységesen, házirend alapon tudják kezelni a hozzáférési igényeket. Külön problémát jelent, hogy a kapcsolódáshoz használt eszközök és hálózatok sok esetben nem a vállalat saját felügyelete alatt állnak, illetve a felhasználók sem tekinthetőek megbízhatónak. A megoldásnak alapvetően a következő funkciókat kell nyújtania, illetve tulajdonságokkal kell rendelkeznie: o o o o o o o o
csatlakozás előtti és a csatlakozás időtartama alatti biztonsági ellenőrzés részletes hálózati erőforrás kezelés karanténba helyezés, illetve a biztonsági probléma orvoslása a házirendnek nem megfelelő eszközök esetén nem a vállalat által menedzselt eszközök problémájának kezelése vendég felhasználók egyszerű kezelése a meglévő hálózati infrastruktúra elemeinek minél hatékonyabb kihasználása, befektetésvédelem az iparági szabványok követelményeit teljes mértékben elégítse ki, hogy a felhasználó ne legyen a szállítóhoz kötve a megoldás bevezetését követően. lehetővé tegye a fokozatos bevezetést, a lehető legkisebb költséggel bevezethető legyen, minimális eszközcserét és konfigurálást igényeljen.
A Juniper válasza a problémára A Juniper Networks Unfied Access Control megoldása többrétegű az igényeknek való minél jobb megfelelőség érdekében. Képes Layer 2 üzemmódban port szintű ellenőrzést végezni a 802.1x szabvány segítségével, vagy Layer 3-as szintű ellenőrzést végezni ahol a 802.1x azonosítás valamilyen okból nem lehetséges vagy nem kívánatos. A két üzemmód szabadon és rugalmasan kombinálható egyazon hálózaton belül. Az UAC további előnyei: o o
o o
Switch infrastruktúra — az UAC együttműködik bármely gyártó 802.1x képes switch és wireless access point eszközeivel. Kompatibilitási kérdések — a Juniper UAC megoldása nem egyszerűen 100%-ban 802.1x kompatibilis (és ezáltal gyártófüggetlen), de kiemelten támogatja a „Trusted Computing Group” csoport „Trusted Network Connect” kezdeményezését, amely együttmüködést garantál más egyéb biztonsági eszközökkel (például: patch management). A legtöbb felhasználási módra előkonfigurált sablonok és megoldási metódusok állnak rendelkezésre az eszközben, mint például vendég hozzáférések biztonságos kezelése. Szoros integráció más egyéb Juniper megoldásokkal, mint például a behatolásdetektáló és megelőző IDP platform. Az integrált működésnek köszönhetően radikálisan csökkenthető az üzemeltető személyzetre nehezedő teher.1
1
Egy notebook felhasználó egy külső helyszínen véletlenül féregvírussal fertőzi meg a gépét. Amikor a belső hálózatra csatlakoztatja a gépét, a behatolás-detektáló érzékeli a féregvírus által generált forgalmat, és blokkolja azt. Ha nincs integrált működés, akkor a felhasználó hálózat hibára gyanakodva hívja a hálózat üzemeltetőjét és hosszas hibakeresés kezdődhet, hogy miért nem éri el az adott hálózati erőforrást a felhasználó. Integrált működés esetén az IDP eszköz a vírus forgalmának blokkolása mellett értesíti az UAC megoldást, amely karanténba helyezi a felhasználót (ezáltal már más gépekhez sem fér hozzá, nem csak azokhoz, amiket az IDP véd). A fel-
—2/8—
o
o
A felhasználó azonosságát az UAC összerendeli az általa betöltött szerepekkel, és ez alapján szabályozható a felhasználó hálózati és alkalmazás hozzáférése. Így a hatóságok által megkövetelt jogszerű működés (ún. „policy compliance”) is egyszerűen teljesíthető. Széles körű kliens platform támogatás — majdnem minden Windows, Apple Mac OS X, Linux és Solaris verzió támogatása.
használó egy felugró ablakból értesül arról, hogy karanténba került a féregvírus miatt, és a további teendőiről (vírusminta-fájl frissítése, stb.). Így nem fogja az üzemeltetést felesleges munkára kényszeríteni.
—3/8—
A megoldás elemei Az UAC infrastruktúra alapkiépítésben három elemet tartalmaz: o
o
o
Az Infranet Controller (IC) célhardvert, amely a központi házirendet tartalmazza, és illesztő-felületként működik / működhet a vállalatnál meglévő AAA megoldásokhoz. Az IC tartalmaz egy Steel Belted Radius szervert is beépítve, amely lehetővé teszi a 802.1x tranzakciókat a kliensek csatlakozásakor. Az UAC Agent programot, amely előkonfigurált állapotban automatikusan letölthető — akár valós időben, amikor a kliens csatlakozni próbál a hálózathoz. (Természetesen telepíthető központi menedzsment megoldásokkal is.) Az UAC infrastruktúra képes úgynevezett agentless (kliens program nélküli) üzemmódra is, amely különösen hasznos például vendég felhasználók elérésének biztosítása esetén. Az UAC Agent információkat gyűjt a kliens biztonsági állapotáról, illetve bekéri hitelesítési információkat (felhasználónév és jelszó, tanúsítvány, stb.) — majd a beépített Odyssey Access Client (OAC) 802.1x funkcionalitás segítségével mint 802.1x supplicant továbbítja azokat. A Host Checker komponens számos adatot képes automatizáltan begyűjteni, például a személyi tűzfal pontos konfigurációjat, telepített Service Pack csomagok és azok verziója, stb. Az UAC hozzáférés kontrolláló eszközök (az úgynevezett „UAC Enforcement Points”), amelyek bármely gyártótól származó 802.1x képes drótós vagy drót nélküli eszközök lehetnek, valamint Juniper Networks tűzfalak.
Az Infranet Controller Az Infranet Controller technológiai alapja a Juniper SSL VPN eszközökből már jól ismert „policy control engine” illetve a Steel Belted Radius Server. Jelenleg kétféle modell kapható, az IC 4000 és az IC 6000. Az IC 4000 néhány ezer felhasználó kiszolgálására alkalmas, és redundáns kiépítésben is telepíthető, azonban maximum két tagú klasztereket engedélyez. Az IC 6000 eszköz már belső hardver redundanciát is tartalmaz, menet közben cserélhetőek a merevelemezek és a tápegységek (hot swap); valamint több tízezer egyidejű felhasználó kezelésére alkalmas, mivel többtagú terheléselosztott, hibatűrő klaszter építhető belőle.
Az UAC Agent Az UAC Agent program gyakorlatilag megegyezik az Odyssey Access Client programmal. Tartalmaz néhány fontos kiegészítő funkciót a Windows operációs rendszerhez, mint például a „Single Sign On” bejelentkezés lehetősége a Windows Active Directory rendszerébe. Az ügynök-program számos aspektusát képes vizsgálni a kliensgép állapotának a beépített Host Checker komponens segítségével, mint például: o o o o o
Antivírus, antispyware, személyi tűzfal (personal firewall) és egyéb harmadik féltől (3rd party) származó termékek állapotának lekérdezése, integritásának figyelése. Tetszőleges állomány meglétének és integritásának figyelése MD5 checksum segítségével. Futó alkalmazások lekérdezése, az alkalmazás integritásának ellenőrzése. Registry adatbázis kulcs és felvett érték szintű figyelése. Nyitott portok, futó szerveralkalmazások a kliensen.
—4/8—
A hozzáférést korlátozó eszköz (Enforcement Point) A hozzáférést a Juniper megoldásában úgynevezett Enforcement Pointok segítségével korlázozhatjuk. Enforcement Point lehet bármely gyártótól származó 802.1x képes eszköz (például switch vagy wireless access point), és bármely ScreenOS 5.4 verziójú (vagy afölötti) operációs rendszert futtató Juniper tűzfal. Ennek előnye, hogy amennyiben a meglévő infrastruktúra tartalmaz nem 802.1x képes elemeket is, úgy nem kényszerül a felhasználó költséges hardver cserékre. A Juniper tűzfalak Layer 2 transzparens üzemmódban is telepíthetőek, hogy a meglévő routing és más egyéb hálózati beállításokon se kelljen módosítani; illetve úgynevezett audit módra is van lehetőség, amikor az eszközök nem végeznek beavatkozást, csak dokumentálják a hálózati hozzáféréseket és azok biztonsági szintjét. Azokon a tűzfalakon, amelyeken tartalomszűrési funkcionalitás is elérhető (mint például az összes SSG eszköz), a rosszindulatú kódok szűrése integrálható az UAC megoldásba felhasználónkénti és kapcsolatonkénti korlátozást lehetővé téve.
—5/8—
Néhány további lehetőség áttekintése Tulajdonság
Tulajdonság leírása
További részletek
Összeköti a felhasználó és az általa használt eszköz azonosságát a hálózati kapcsolódási ponttal valós időben, dinamikus biztonsági házirend betartatással
A különböző adatok kiértékelése a kapcsolódás megkezdésétől kezdve a kapcsolat végéig folyamatosan zajlik, a házirend érvényesítése emiatt teljesen valós idejű és maximálisan biztonságos
Bár a megoldás teljesen gyártó-független, a dinamikus VLAN újrakonfigurálási funkció nem minden 802.1x eszközben áll rendelkezésre.
Egységes „policy engine”
Nincs szükség több eszköz telepítésére és menedzselésére, akárhány telephelyet kell is ellátni UAC funkcionalitással.
A megoldás folyamatosan alkalmazkodik a változó felhasználói igényekhez, nagyon valószínűtlen, hogy a hálózati infrastruktúra változása további beruházásokat igényelne az UAC megoldás oldalán.
Robosztus, rendkívül kiforrott UAC Agent
Dinamikusan (valós időben, az authentikációs folyamat során) letölthető programcsomag, amely előre konfigurálható. Természetesen előre is telepíthető központi menedzsment megoldások segítségével. A legnépszerűbb kliens platformok támogatása mellett (mint például a Windows Vista) számos ritkábban használtat is támogat (mint például a Solaris. Linux vagy a Apple Mac).
Kiegészítő funkciók, mint például Single Sign On.
TNC kompatibilitás a más gyártók megoldásaival történő integrálás érdekében.
Agent-less üzemmód
Azokon a gépeken ahol nem lehetséges, vagy nemkívánatos az ügynökprogram telepítése, szintén védelmet nyújt az UAC infrastruktúra.
—6/8—
Akár hálózati nyomtatók kapcsolatának védelme is lehetséges a MAC fallback funkció segítségével.
Tulajdonság
Tulajdonság leírása
További részletek
„Coordinated Threat Control”
Az UAC megoldás integrálható a Juniper IDP behatolásdetektáló platformmal. Az integráció teljes mélységű forgalomelemzést tesz lehetővé.
Az integrált működésnek köszönhetően az adminisztrátor nemcsak a támadó IP címével lesz tisztában, de számos további részlettel, mint például felhasználónév, process neve, stb. Igény szerint a felhasználó is értesíthető és segítséget kap a probléma orvoslására (például féregvírus vagy kémprogram eltávolítása.)
Nem menedzselhető eszközök dinamikus kezelése
A nem menedzselhető eszközök számára (mint például vonalkód olvasók, pénztárgépek, hálózati nyomatatók) MAC Address authentikációs lehetőség áll rendelkezésre a RADIUS szerverből. A MAC címekből fehérés feketelisták is képezhetőek. Az adatok lekéréséhez meglévő címtárak is használhatóak, például LDAP.
Kiterjesztett automatikus probléma orvoslás / megoldás lehetősége
A felhasználók számára portál alakítható ki, ahol számos problémát önmaguk el tudnak hárítani, nincs szükség az üzemeltető személyzet bevonására.
Tipikus hiba például a notebook felhasználó esete, akinek a gépén nincs meg a legfrissebb vírusminta fájl. Ha a vállalati házirend maximum 72 órás vírusminta-fájlokat enged meg, akkor a felhasználót bejelentkezési kísérletekor egy olyan oldal fogadja, ami linket tartalmaz a legfrissebb mintafájlra. Így pillanatok alatt újra tud csatlakozni, de már a biztonsági házirendnek megfelelően.
Integrált, előre definiált patch szint ellenőrzés
A patch és hotfix telepítettségének ellenőrzése alapján biztonsági szintek határozhatóak meg. A rendszer több gyártó megoldását támogatja, például a Shavlik NetChk Protect rendszerét.
A legkritikusabb erőforrások eléréséhez például megkövetelhető, hogy minden ismert kritikus hiba ellen védve legyen az adott gép, míg átlagos erőforrásokat esetleg még elérhet alacsonyabb biztonsági szint mellett is.
Dinamikus szerep figyelés
Számos biztonsági tényező megléte már az előtt ellenőrizhető, hogy egyáltalán a bejelentkező oldalra jutna a felhasználó.
Külön ellenőrzések köthetőek az azonosítás előttre és utánra, illetve a kapcsolódás teljes időtartamára.
—7/8—
Tulajdonság
Tulajdonság leírása
Meglévő AAA megoldások széles köre támogatott
802.1x, RADIUS, LDAP, MS AD, RSA ACE, NIS, tanúsítványok (PKI), helyi felhasználóadatbázis, Netegrity SiteMinder (CA), RSA Cleartrust, Oracle Oblix valamint Proxy Radius
—8/8—
További részletek Gyakorlatilag bármely rendszerrel integrálható.
AAA
